跨 AWS 账户创建备份副本 - AWS Backup

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨 AWS 账户创建备份副本

注意

在 AWS Backup 中跨多个 AWS 账户管理资源之前,您的账户必须在 AWS Organizations 服务中属于同一组织。

利用 AWS Backup,您可以按需备份到多个 AWS 账户,也可以作为定期备份计划的一部分自动进行备份。如果您出于运营或安全原因需要将备份安全地复制到组织中的一个或多个 AWS 账户,请使用跨账户备份。如果原始备份被无意中删除,则可以将备份从目的地账户复制到其源账户,然后开始还原。在执行此操作之前,您必须在 AWS Organizations 服务中拥有两个属于同一组织的账户。有关更多信息,请参阅《Organizations 用户指南》中的教程:创建和配置组织

在目的地账户中,您必须创建备份保管库。然后,您可以分配客户托管密钥来加密目的地账户中的备份,并分配基于资源的访问策略以允许 AWS Backup 访问您要复制的资源。在源账户中,如果您的资源使用客户托管密钥进行加密,则必须与目的地账户共享此客户托管密钥。然后,您可以创建备份计划并选择在 AWS Organizations 中属于您的组织单位的目的地账户。

AWS Backup 支持的大多数资源都支持跨账户备份。有关详细信息,请参阅按资源划分的功能可用性表的该部分。

大多数 AWS 区域都支持跨账户备份。有关详细信息,请参阅按 AWS 区域划分的功能可用性表的该部分。

设置跨账户备份

创建跨账户备份需要什么?
  • 一个源账户

    源账户是您的生产 AWS 资源和主备份所在的账户。

    源账户用户发起跨账户备份操作。源账户用户或角色必须具有相应的 API 权限才能发起该操作。相应的权限可能是允许完全访问 AWS Backup 操作的 AWS 托管策略 AWSBackupFullAccess,也可能是允许执行诸如 ec2:ModifySnapshotAttribute 等操作的客户托管策略。有关策略类型的更多信息,请参阅 AWS Backup 托管策略

  • 一个目的地账户

    目的地账户是您要在其中保存备份副本的账户。您可以选择多个目的地账户。在 AWS Organizations 中,目的地账户必须与源账户位于同一个组织中。

    对于您的目的地备份保管库,您必须“允许”访问策略 backup:CopyIntoBackupVault。如果没有此策略,将拒绝向目的地账户进行复制的尝试。

  • AWS Organizations 中的一个管理账户

    管理账户是组织中的主账户,由 AWS Organizations 定义,您可以使用它管理各 AWS 账户的跨账户备份。要使用跨账户备份,还必须启用服务信任。启用服务信任后,可以将组织中的任何账户用作目的地账户。在目的地账户中,可以选择使用哪些保管库进行跨账户备份。

  • 在 AWS Backup 控制台中启用跨账户备份

有关安全的信息,请参阅跨账户备份的安全注意事项

要使用跨账户备份,必须启用跨账户备份功能。然后,必须“允许”通过访问策略 backup:CopyIntoBackupVault 访问您的目的地备份保管库。

启用跨账户备份
  1. 使用 AWS Organizations 管理账户凭证登录 AWS。只能使用这些凭证启用或禁用跨账户备份。

  2. 打开 AWS Backup 控制台,网址为:https://console.aws.amazon.com/backup

  3. 我的账户中,选择设置

  4. 对于跨账户备份,选择启用

  5. 备份保管库中,选择目的地保管库。

  6. 访问策略 部分,“允许”backup:CopyIntoBackupVault。例如,选择添加权限,然后选择允许从组织访问备份保管库

  7. 现在,组织中的任何账户都可以与组织中的任何其他账户共享其备份保管库中的内容。有关更多信息,请参阅与其他 AWS 账户共享备份保管库。要限制哪些账户可以接收其他账户的备份保管库中的内容,请参阅将账户配置为目的地账户

安排跨账户备份

您可以使用定时备份计划跨 AWS 账户复制备份。

使用定时备份计划复制备份
  1. 打开 AWS Backup 控制台,网址为:https://console.aws.amazon.com/backup

  2. 我的账户中,选择备份计划,然后选择创建备份计划

  3. 创建备份计划页面上,选择构建新计划

  4. 对于备份计划名称,输入备份计划的名称。

  5. 备份规则配置部分,添加定义备份计划、备份时段和生命周期规则的备份规则。您稍后可以添加更多备份规则。

    对于规则名称,输入规则的名称。

  6. 计划部分的频率下,选择您希望备份的频率。

  7. 对于备份时段,选择使用备份时段默认值(推荐)。您可以自定义备份时段。

  8. 对于备份保管库,从列表中选择一个保管库。此备份的恢复点将保存在此保管库中。您可以创建新的备份保管库。

  9. 生成副本 - 可选部分,输入以下值:

    目的地区域

    选择备份副本的目的地 AWS 区域。您的备份将被复制到该区域。对于每个副本,您可以将新的复制规则添加到新的目的地。

    复制到其他账户的保管库

    切换以选择此选项。选中后,此选项将变为蓝色。此时将显示外部保管库 ARN 选项。

    外部保管库 ARN

    输入目的地账户的 Amazon 资源名称 (ARN)。ARN 是一个包含账户 ID 及其 AWS 区域的字符串。AWS Backup 会将备份复制到目的地账户的保管库。目的地区域列表会自动更新到外部保管库 ARN 中的区域。

    对于允许备份保管库访问权限中,选择允许。然后,在打开的向导中选择允许

    AWS Backup 需要具有访问外部账户的权限才能将备份复制到指定值。向导将显示以下策略示例,其中提供了此访问权限。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Allow account to copy into backup vault", "Effect": "Allow", "Action": "backup:CopyIntoBackupVault", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::account-id:root" } } ] }
    转换为冷存储

    选择将备份副本转换到冷存储的时间以及副本的到期(删除)时间。转换到冷存储的备份必须在冷存储中存储至少 90 天。在副本转换为冷存储后,无法更改此值。

    要查看可以转换到冷存储的资源列表,请参阅按资源划分的功能可用性表的“转换到冷存储的生命周期”部分。对于其他资源,将忽略冷存储表达式。

    过期指定副本在创建后多少天删除。此值必须比转换为冷存储值多 90 天。

    注意

    当备份过期并作为生命周期策略的一部分标记为删除时,AWS Backup 将在接下来的 8 小时内随机选择的时间点删除备份。此时段有助于确保一致的性能。

  10. 选择添加到恢复点的标签以向恢复点添加标签。

  11. 对于高级备份设置,选择 Windows VSS,为在 EC2 上运行的选定第三方软件启用应用程序感知快照。

  12. 选择创建计划

执行按需跨账户备份

您可以根据需要将备份复制到其他 AWS 账户。

按需复制备份
  1. 打开 AWS Backup 控制台,网址为:https://console.aws.amazon.com/backup

  2. 我的账户中,选择备份保管库以查看列出的所有备份保管库。您可以按备份保管库名称或标签进行筛选。

  3. 选择要复制的备份的恢复点 ID

  4. 选择复制

  5. 展开备份详细信息以查看有关您正在复制的恢复点的信息。

  6. 复制配置部分,从目的地区域列表中选择一个选项。

  7. 选择复制到其他账户的保管库。选中后,此选项将变为蓝色。

  8. 输入目的地账户的 Amazon 资源名称 (ARN)。ARN 是一个包含账户 ID 及其 AWS 区域的字符串。AWS Backup 会将备份复制到目的地账户的保管库。目的地区域列表会自动更新到外部保管库 ARN 中的区域。

  9. 对于允许备份保管库访问权限中,选择允许。然后,在打开的向导中选择允许

    要创建副本,AWS Backup 需要具有访问源账户的权限。向导将显示一个策略示例,其中提供了此访问权限。下面显示了此策略。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Allow account to copy into backup vault", "Effect": "Allow", "Action": "backup:CopyIntoBackupVault", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::account-id:root" } } ] }
  10. 对于转换为冷存储,选择将备份副本转换到冷存储的时间以及副本的到期(删除)时间。转换到冷存储的备份必须在冷存储中存储至少 90 天。在副本转换为冷存储后,无法更改此值。

    要查看可以转换到冷存储的资源列表,请参阅按资源划分的功能可用性表的“转换到冷存储的生命周期”部分。对于其他资源,将忽略冷存储表达式。

    过期指定副本在创建后多少天删除。此值必须比转换为冷存储值多 90 天。

  11. 对于 IAM 角色,指定有权复制您的备份的 IAM 角色(例如默认角色)。复制行为由目的地账户的服务关联角色执行。

  12. 选择复制。根据要复制的资源的大小,此过程可能需要几个小时才能完成。复制作业完成后,您将在作业菜单的复制作业选项卡中看到该副本。

有关跨账户备份密钥的注意事项

AWS 托管密钥不支持跨账户复制。AWS 托管密钥的密钥策略不可变,这可以防止跨账户复制密钥。如果您的资源使用 AWS 托管密钥加密,并且您希望执行跨账户复制,则可以更改加密密钥为客户托管密钥,因为它支持跨账户复制。或者,您可以按照使用跨账户和跨区域备份保护加密的 Amazon RDS 实例中的说明继续使用 AWS 托管密钥。

将备份从一个 AWS 账户还原到另一个账户

AWS Backup 不支持将资源从一个 AWS 账户恢复到另一个账户。但是,您可以将备份从一个账户复制到另一个账户,然后在该账户中进行还原。例如,您无法将账户 A 中的备份还原到账户 B,但可以将账户 A 中的备份复制到账户 B,然后在账户 B 中还原备份。

将备份从一个账户还原到另一个账户分为两步。

将备份从一个账户还原到另一个账户
  1. 将备份从源 AWS 账户复制到要还原到的账户。有关说明,请参阅设置跨账户备份

  2. 使用与您的资源对应的说明来还原备份。

与其他 AWS 账户共享备份保管库

AWS Backup 允许您与一个或多个账户共享备份保管库,或者在 AWS Organizations 中与您的整个组织共享备份保管库。您可以与源 AWS 账户、用户或 IAM 角色共享目的地备份保管库。

共享目的地备份保管库
  1. 选择 AWS Backup,然后选择备份保管库

  2. 选择要共享的备份保管库的名称。

  3. 访问策略窗格中,选择添加权限下拉列表。

  4. 选择允许备份保管库的账户级别访问权限。或者,您可以选择允许组织级别或角色级别访问权限。

  5. 输入要与此目的地备份保管库共享的账户的 AccountID

  6. 选择保存策略

您可以使用 IAM 策略共享您的备份保管库。

与 AWS 账户或 IAM 角色共享目的地备份保管库

以下策略与账号 4444555566666 和账号 111122223333 中的 IAM 角色 SomeRole 共享备份保管库。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS":[ "arn:aws:iam::444455556666:root", "arn:aws:iam::111122223333:role/SomeRole" ] }, "Action":"backup:CopyIntoBackupVault", "Resource":"*" } ] }
与 AWS Organizations 中的组织单位共享目的地备份保管库

以下策略使用 PrincipalOrgPaths 与组织单位共享备份保管库。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":"*", "Action":"backup:CopyIntoBackupVault", "Resource":"*", "Condition":{ "ForAnyValue:StringLike":{ "aws:PrincipalOrgPaths":[ "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/", "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*" ] } } } ] }
与 AWS Organizations 中的组织共享目的地备份保管库

以下策略与 PrincipalOrgID 为“o-a1b2c3d4e5”的组织共享备份保管库。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":"*", "Action":"backup:CopyIntoBackupVault", "Resource":"*", "Condition":{ "StringEquals":{ "aws:PrincipalOrgID":[ "o-a1b2c3d4e5" ] } } } ] }

将账户配置为目的地账户

当您首次使用 AWS Organizations 管理账户启用跨账户备份时,成员账户的任何用户都可以将其账户配置为目的地账户。我们建议在 AWS Organizations 中设置一个或多个服务控制策略 (SCP),以限制您的目的地账户。要了解有关将服务控制策略附加到 AWS Organizations 节点的更多信息,请参阅附加和分离服务控制策略

使用标签限制目的地账户

当附加到 AWS Organizations 根、OU 或单个账户时,此策略将复制目的地从该根、OU 或账户限制到仅限那些带有您已标记 DestinationBackupVault 的备份保管库的账户。权限 "backup:CopyIntoBackupVault" 控制备份保管库的行为方式,在此例中还控制哪些目的地备份保管库有效。使用此策略以及应用于已批准的目的地保管库的相应标签,可以控制跨账户复制的目的地仅为已批准的账户和备份保管库。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"backup:CopyIntoBackupVault", "Resource":"*", "Condition":{ "Null":{ "aws:ResourceTag/DestinationBackupVault":"true" } } } ] }
使用账号和保管库名称限制目的地账户

当附加到 AWS Organizations 根、OU 或单个账户时,此策略将源自该根、OU 或账户的副本限制到仅限两个目的地账户。权限 "backup:CopyFromBackupVault" 控制备份保管库中恢复点的行为方式,在此例中还控制您可以将该恢复点复制到的目的地。只有当一个或多个目的地备份保管库名称以 cab- 开头时,源保管库才允许将副本复制到第一个目的地账户 (112233445566)。只有当目的地是单个名为 fort-knox 的备份保管库时,源保管库才允许将副本复制到第二个目的地账户 (123456789012)。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"backup:CopyFromBackupVault", "Resource":"arn:aws:ec2:*:snapshot/*", "Condition":{ "ForAllValues:ArnNotLike":{ "backup:CopyTargets":[ "arn:aws:backup:*:112233445566:backup-vault:cab-*", "arn:aws:backup:us-west-1:123456789012:backup-vault:fort-knox" ] } } } ] }
使用 AWS Organizations 中的组织单位限制目的地账户

当附加到 AWS Organizations 根或包含源账户的 OU 时,或者附加到源账户时,以下策略将目的地账户限制到两个指定 OU 中的账户。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"backup:CopyFromBackupVault", "Resource":"*", "Condition":{ "ForAllValues:StringNotLike":{ "backup:CopyTargetOrgPaths":[ "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/", "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*" ] } } } ] }

跨账户备份的安全注意事项

在 AWS Backup 中执行跨账户备份时,请注意以下事项:

  • 目的地保管库不能是默认保管库。这是因为默认保管库使用无法与其他账户共享的密钥进行加密。

  • 禁用跨账户备份后,跨账户备份可能仍会持续长达 15 分钟。这是因为最终一致性造成的,即使在您禁用跨账户备份后,也可能会有某些跨账户作业开始或完成。

  • 如果目的地账户稍后离开组织,则该账户将保留备份。为避免出现潜在数据泄露,请在附加到目的地账户的服务控制策略 (SCP) 中对 organizations:LeaveOrganization 权限设置拒绝权限。有关 SCP 的详细信息,请参阅《Organizations 用户指南》中的从组织中删除成员账户

  • 如果您在跨账户复制过程中删除某个复制作业角色,则 AWS Backup 无法在复制作业完成时取消共享来自源账户的快照。在这种情况下,备份作业完成,但复制作业状态显示为无法取消共享快照